5 dicas para reduzir alertas de segurança falsos positivos

Os analistas do SOC gastam muito tempo e esforço perseguindo alertas de segurança incorretos que indicam uma vulnerabilidade onde não existe.

Os analistas do SOC gastam muito tempo e esforço perseguindo alertas de segurança incorretos que indicam uma vulnerabilidade onde não existe nenhuma.

Falsos positivos – ou alertas que indicam incorretamente que uma ameaça à segurança está presente em um ambiente específico – são um grande problema para os Centros de Operações de Segurança (SOCs). Numerosos estudos têm mostrado que os analistas de SOC gastam uma quantidade excessiva de tempo e esforço perseguindo alertas que sugerem uma ameaça iminente a seus sistemas, que acabam sendo benignos no final.

Uma pesquisa que a Invicti conduziu recentemente descobriu que os SOCs perdem em média 10.000 horas e cerca de US$ 500.000 por ano validando alertas de vulnerabilidade incorretos e não confiáveis. Outra pesquisa que o Enterprise Strategy Group (ESG) conduziu para a Fastly relatou uma média de 53 alertas por dia de seus aplicativos da web e ferramentas de segurança API. Quase metade (45%) são falsos positivos. Nove em cada dez dos entrevistados na pesquisa descreveram os falsos positivos como tendo um impacto negativo na equipe de segurança.

“Para as equipes SOC, os falsos positivos são um dos maiores pontos fracos”, disse Chuck Everette, diretor de defesa da segurança cibernética da Deep Instinct. O foco principal de um SOC é monitorar os eventos de segurança e investigar e responder a eles em tempo hábil. “Se eles forem inundados com centenas ou milhares de alertas que não têm nenhum significado de segurança real, isso os desvia de responder com eficiência e eficácia a ameaças reais”, diz ele.

Eliminar totalmente os falsos positivos do ambiente pode ser quase impossível. No entanto, existem maneiras de os SOCs minimizarem e otimizarem o tempo de persegui-los. Aqui estão cinco delas:

1. Concentre-se nas ameaças que importam

Os analistas do SOC gastam muito tempo e esforço perseguindo alertas de segurança incorretos que indicam uma vulnerabilidade onde não existe nenhuma.

Ao configurar e ajustar ferramentas de alerta de segurança, como sistemas de detecção de intrusão (IDS/IPS) e sistemas de gerenciamento de informações e eventos de segurança (SIEM), certifique-se de definir regras e comportamento que alertem apenas sobre as ameaças que são relevantes para o seu ambiente. As ferramentas de segurança podem agregar muitos dados de log, nem todos necessariamente relevantes do ponto de vista da ameaça para o seu ambiente.

O dilúvio de falsos positivos que a maioria dos SOCs gerencia é o subproduto de uma dessas três coisas, diz Tim Wade, diretor técnico da equipe CTO da Vectra:

“Em primeiro lugar, as regras baseadas em correlação muitas vezes não têm a capacidade de expressar um número suficiente de recursos necessários para aumentar a sensibilidade de detecção e a especificidade para níveis acionáveis”, diz ele. Como resultado, as detecções podem frequentemente revelar comportamentos de ameaça, mas não conseguem distingui-los de comportamentos benignos.

O segundo problema é que as regras baseadas em comportamento, que se concentram principalmente nas anomalias são boas para encontrar ameaças retrospectivamente, diz ele. Eles frequentemente falham em gerar um sinal para agir. “Na escala de qualquer empresa, ‘estranho é normal’”, diz ele. Isso significa que as anomalias são a regra, não a exceção, portanto, perseguir cada anomalia é uma perda de tempo e esforço.

Em terceiro lugar, falta aos SOCs sofisticação em sua própria classificação de incidentes para distinguir os verdadeiros positivos maliciosos dos verdadeiros positivos benignos.” Isso resulta em verdadeiros positivos benignos sendo agrupados na mesma categoria dos falsos positivos, enterrando de forma eficaz os dados que podem ajudar a permitir melhorias nos esforços de engenharia de detecção, diz Wade.”

As principais causas dos falsos positivos são a falha dos SOCs em entender como é um verdadeiro Indicador de Comprometimento em seu ambiente específico e a falta de dados confiáveis ​​para testar as regras, diz John Bambenek, principal caçador de ameaças da Netenrich. Muitas entidades de segurança divulgam rotineiramente Indicadores de Comprometimento como parte de sua pesquisa, mas às vezes um indicador válido de comprometimento não é suficiente por si só para indicar uma ameaça a um ambiente específico. Um ator de ameaça pode usar o Tor. Então, sua presença é relevante. Isso não significa que todo uso do Tor é um sinal da presença de um agente de ameaça específico em uma rede. “A maioria das pesquisas requer informações contextuais, e muitas empresas estão correndo “atrás da bola” na criação de detecções contextuais”, diz ele.

2. Não seja vítima da falácia da taxa básica

Os profissionais de segurança muitas vezes cometem o erro de interpretar muito literalmente as afirmações de um fornecedor sobre taxas baixas de falsos positivos. Só porque uma ferramenta SOC pode reivindicar uma taxa de falso positivo de 1% e uma taxa de falso negativo de 1% não significa que a probabilidade de um verdadeiro positivo é de 99%, afirma Sounil Yu, CISO da JupiterOne. Como o tráfego legítimo normalmente tende a ter magnitudes maiores do que o tráfego malicioso, as taxas positivas verdadeiras geralmente podem cair bem abaixo do que os gerentes de segurança podem intrinsecamente esperar no início. “A probabilidade real de que seja um verdadeiro positivo é muito menor, e essa probabilidade diminui ainda mais dependendo de quantos eventos totais são processados”, diz ele.

Como exemplo, ele aponta para um SOC que pode lidar com 100.000 eventos diariamente, dos quais 100 são alertas reais e 99.900 são alarmes falsos. Nesse cenário, uma taxa de falso positivo de 1% significa que a equipe de segurança teria que perseguir 999 alertas falsos e a probabilidade de um positivo verdadeiro é de apenas 9%, diz Yu. “Se aumentarmos o número de eventos para 1.000.000 enquanto mantemos o número de alarmes reais em 100, a probabilidade cai ainda mais para menos de 1%.”

Os analistas do SOC gastam muito tempo e esforço perseguindo alertas de segurança incorretos que indicam uma vulnerabilidade onde não existe nenhuma.

A principal lição para os administradores é que pequenas diferenças em uma taxa de falsos positivos podem afetar significativamente o número de alarmes falsos que as equipes do SOC precisam perseguir, observa Yu. Portanto, é importante que as regras de detecção sejam continuamente ajustadas para reduzir as taxas de falsos positivos e automatizar a investigação inicial de alertas tanto quanto possível. As equipes de segurança também devem resistir à tendência de alimentar mais dados do que o necessário em seus mecanismos de detecção. “Em vez de inserir arbitrariamente mais dados em seus pipelines de detecção, certifique-se de ter apenas os dados de que precisa para processar suas regras de detecção e deixar os outros dados para enriquecimento automatizado posteriormente”, diz ele.

3. Teste sua própria rede

Os analistas de SOC costumam ficar mais cansados ​​de perseguir alertas de segurança de baixo impacto do que de falsos positivos, diz Doug Dooley, COO da Data Theorem. Isso pode acontecer, por exemplo, quando as equipes de segurança são organizadas para procurar problemas de higiene do código que podem ou não ser exploráveis ​​no aplicativo de produção, em vez de se concentrar em problemas que têm um impacto significativo nos negócios. “A equipe secops pode ser facilmente atolada por alertas não essenciais que são injustamente categorizados como ‘falsos positivos'”, disse Dooley.

Somente quando a equipe de segurança trabalha em estreita colaboração com os líderes de negócios é que eles podem se concentrar no que realmente importa e filtrar o ruído. “Se uma violação de dados de seu aplicativo móvel mais popular puder danificar substancialmente sua marca, diminuir o preço de suas ações e provavelmente fazer você perder clientes, então o foco em vulnerabilidades exploráveis ​​em sua pilha de aplicativos terá alta prioridade de negócios.”

Em vez de se concentrar em ataques e cenários teóricos, Dooley recomenda que as organizações conduzam testes de violação em seus próprios sistemas para verificar se alguma vulnerabilidade explorável que possa existir pode ser comprometida. Esses testes e verificações podem construir confiança e credibilidade entre as equipes de operações de segurança e as equipes de desenvolvimento, diz ele.

4. Manter bons registros e métricas

Manter registros de investigações que se tornaram uma grande perseguição é uma boa maneira de minimizar as chances de que isso aconteça novamente. Para melhorar a detecção e ajustar os alertas, os SOCs precisam ser capazes de filtrar o ruído dos sinais acionáveis. Isso só pode acontecer quando as organizações têm dados que podem olhar para trás e aprender com eles.

“Em um mundo de tempo, recursos e atenção limitados, sempre que o esforço é despendido em um falso positivo, a empresa corre o risco de que um sinal acionável seja ignorado”, diz Wade, da Vectra. “É difícil exagerar a necessidade de os SOCs manterem registros e métricas eficazes de suas investigações para melhorar seus esforços de engenharia de detecção ao longo do tempo”. Infelizmente, para muitos SOCs, o caos do momento tende a atropelar os esforços de planejamento de longo prazo necessários para melhorar, diz ele.

As ferramentas de alerta de segurança devem ter um mecanismo de feedback e métricas que permitam aos defensores rastrear taxas de falsos positivos por provedores e fontes de informação, diz Bambenek. “Se você estiver usando um data lake de telemetria de segurança, também poderá observar indicadores e novas regras em relação aos dados anteriores para ter uma ideia das taxas de falsos positivos também”, diz ele.

5. Automação por si só não é suficiente

Os analistas do SOC gastam muito tempo e esforço perseguindo alertas de segurança incorretos que indicam uma vulnerabilidade onde não existe nenhuma.

A automação, quando implementada corretamente, pode ajudar a aliviar os desafios relacionados à sobrecarga de alertas e escassez de habilidades em SOCs modernos. No entanto, as organizações precisam de uma equipe qualificada – ou ter acesso a uma por meio de um provedor de serviços gerenciados, por exemplo – para obter o máximo de sua tecnologia.

“Com o tempo para confirmar manualmente cada vulnerabilidade em uma hora, as equipes podem gastar espantosos 10.000 horas controlando falsos positivos anualmente”, disse Sonali Shah, diretor de produto da Invicti. Ainda assim, mais de três quartos dos entrevistados na pesquisa da Invicti disseram que sempre ou frequentemente verificam manualmente as vulnerabilidades. Nessas situações, a automação integrada aos fluxos de trabalho existentes pode ajudar a aliviar os desafios associados aos falsos positivos.

Para obter o máximo da tecnologia, os SOCs precisam de operadores que possam ajustar as ferramentas de registro e detecção e desenvolver os scripts ou ferramentas personalizadas que unem as ferramentas do fornecedor, diz Daniel Kennedy, analista da S&P Global Market Intelligence. Os operadores que têm conhecimento adquirido ao longo do tempo sobre a natureza personalizada da natureza da tecnologia de sua organização são especialmente úteis, diz ele. Eles podem ajudar os SOCs a economizar tempo examinando relatórios diários em busca de padrões, desenvolvendo manuais, ajustando ferramentas do fornecedor e introduzindo níveis de resposta automatizada apropriados.

Alertas, eventos e registros devem ser ajustados, diz Everette do Deep Instinct. Os especialistas no assunto devem configurar o sistema para garantir que apenas alertas de alta fidelidade sejam trazidos à superfície e que os gatilhos de eventos correspondentes sejam configurados para garantir uma resposta priorizada elevada quando necessário. Para fazer isso de forma eficaz, as organizações devem correlacionar e analisar dados de várias fontes, como logs de segurança, eventos e dados de ameaças. As ferramentas de alerta de segurança “não são um tipo de mecanismo definido e esquecido”, diz ele. Para obter o máximo das ferramentas de alerta, os SOCs precisam procurar oportunidades para aumentar e aprimorar os recursos de cada ferramenta para reduzir o número de falsos positivos e aumentar a eficácia de sua postura geral de segurança.

Fonte: www.csoonline.com

Posts relacionados: Prejuízos com ataques cibernéticos crescem e despertam um alerta global / Governo Britânico lança Guia de Cibersegurança para pequenas empresas e Ransomware: Mudanças nos hábitos de segurança de governos e empresas